VTS23-002
Vulnerabilità di file non firmati in NetBackup IT Analytics
Cronologia delle revisioni
- 1.0: 20 marzo 2023: versione iniziale
- 1.1: 30 marzo 2023: aggiunto l'ID CVE
Riepilogo
Il processo di upgrade dell'applicazione Veritas NetBackup IT Analytics includeva file non firmati che potevano essere sfruttati dai clienti per installare componenti non autentici.
Problema
- ID CVE: CVE-2023-28818
- Gravità: media
- Punteggio base CVSS v3.1: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
Un malintenzionato poteva installare file eseguibili Collector non autorizzati (aptare.jar, upgrademanager.zip) nel server di NetBackup IT Analytics Portal, file che sarebbero stati scaricabili e installabili sui collector. (CWE-347: verifica errata della firma crittografica)
Prerequisiti
Il malintenzionato aveva bisogno dell'accesso amministrativo/radice a NetBackup IT Analytics Portal Server per installare il componente non autenticato.
Versioni interessate
Veritas NetBackup IT Analytics versioni 11.1 e 11.0. Sono interessate anche le versioni precedenti non supportate di APTARE IT Analytics.
Riparazione
Si consiglia ai clienti con un contratto di manutenzione attivo di aggiornare a NetBackup IT Analytics versione11.2.0.
Cercare in Veritas Download Center gli aggiornamenti disponibili: https://www.veritas.com/support/it_IT/downloads
Domande
Per domande o problemi relativi a queste vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT)
Dichiarazione di non responsabilità
IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054